在对英国电信领域关键基础设施(CNI)的供应链布局情况进行全面评估的基础上,7月22日,英国数字、文化、媒体和体育部(DCMS)发布了《英国电信供应链评估报告》。
一、评估的背景
为部署5G和全光纤网络,DCMS在2018年7月发布的《未来电信基础设施评估》(FTIR)中制定了雄心勃勃的计划:到2025年将再有1500万家庭接入全光纤宽带网络,到2033年实现全光纤网络在英国的全面覆盖。英国政府渴望英国走在5G的最前沿,希望到2027年能够在全国大部分地区实现5G的商用。
DCMS意识到5G在为经济发展带来机遇的同时,也加大了网络安全风险。只有确保基础设施的安全,5G和全光纤网络的潜在经济和社会效益才能实现。随着技术的发展,必须建立一个安全框架,以确保英国关键基础设施在现在和将来都能够保持安全、可靠。为此,DCMS于去年11月开始进行电信供应链审查,对英国电信网络的供应布局进行全面评估。在评估过程中,DCMS与产业界、国际合作伙伴和国家网络安全中心(NCSC)密切合作,以确保评估结果有专家的技术建议作为支撑,并能够全面了解英国的市场状况。
二、评估的主要结论
评估的出发点是出于对英国电信网络安全性和适应性的一系列担忧,评估主要涉及三个关键问题:如何激励电信运营商改善5G和全光纤网络的安全标准和实践?如何应对供应商带来的安全挑战?如何创建多元、可持续的电信供应链?评估报告认为:
(一)5G和全光纤网络是促进英国繁荣的关键技术
5G和全光纤网络有望改变英国民众的工作、生活和旅行方式,为新的、更广泛的应用、商业模式和生产力的提高创造机会。但是,新技术发挥作用、创造价值的前提是确保网络的安全性(指确保英国电信网络的可用性、完整性和机密性),如果网络被认为是不安全的,5G和全光纤网络的使用和经济价值将大大降低。
(二)5G和全光纤网络面临安全挑战
与前几代网络相比,5G的技术特性加大了网络的风险状况。5G网络将以更快的速度运行,并且将基于在商品硬件上运行的软件,而不是专有硬件。未来,为实现5G的全部潜力,一些“核心”功能将更接近网络的“边界”。与此同时,随着核心服务向网络边界靠近,还必须推出支持和保护它们的安全服务。虽然前几代移动网络将人与人联系起来,但5G具有连接庞大的人员、物体和通信系统网络(例如物联网)的潜力,包括关键部门在内。这带来了新的安全风险,因为较之3G、4G,英国关键基础设施(CNI)对5G基础设施的依赖程度可能更高。
此外,这些新技术也可能面临日益敌对的威胁环境。在过去两年中,根据国家网络安全中心(NCSC)的评估,英国将一系列恶意网络活动归咎于来自俄罗斯、中国以及朝鲜和伊朗的攻击者。报告指出某些国家有意图和能力进行间谍活动或者破坏性的网络攻击,包括通过进入英国电信供应链。这些参与者可能试图利用电信服务设备以及运营商如何构建和运行网络中存在的弱点,造成安全威胁。
(三)整个行业缺乏将安全风险控制到适当水平的管理机制
目前,DCMS、英国通信管理局(Ofcom)和产业界共同负责管控英国电信的安全风险。电信运营商负责评估风险并采取适当措施确保其网络的安全性。然而,商业利益关注的重点和安全问题之间可能会存在冲突,特别是当这些事项影响到成本和投资决策时。
同样,供应商的商业模式也并不总是优先、充分考虑网络安全。在2019年华为网络安全评估中心(HCSEC)监督委员会的报告中就有一个极端的例子,报告中发现的缺陷可能取得良好的商业利益但会导致网络安全性的降低。因此,需要大大加强政策和监管在界定和执行电信网络安全方面的作用。
(四)国家可依赖的供应商较少
电信供应链缺乏多样性导致国家依赖单一供应商,这对英国电信网络的安全构成了一系列风险。移动和固定接入网络中的依赖风险最为明显,其中供应主要由三个全球参与者(华为、爱立信和诺基亚,其中华为是英国市场的领导者)主导。
三、相关建议
报告认为:此次评估结果表明,虽然英国已经制定了相关的制度,以减轻英国电信面临的安全风险。但随着向下一代网络的发展,各方主体,包括DCMS、行业监管机构、情报机构和产业界还有更多工作要做。针对在此次评估中确定的安全风险,需要制定强有力的政策予以应对。根据评估的结果,DCMS将在现有基础上为5G和全光纤网络建立一个新的、更强大的安全框架。DCMS认为新的框架对于维护英国的国家安全是必要的,它将为产业界提供清晰的认识,同时为政府有效应对风险、威胁和技术变化提供必要的手段。
新的框架将确保运营商构建和运营安全的网络,并相应管理其供应链;同时将评估供应商对网络安全所构成的风险,并有针对性地采取管控措施来降低风险。此外,DCMS表示将定期审查新的安全框架,并在相关威胁、风险和技术发生变化时进行更新。新的安全框架将由以下几个关键部分组成:
(一)制定新的电信安全要求(TSR)
新安全框架的基础是在英国电信行业实施更高的网络安全标准和实践。DCMS和英国通信管理局将与业界协商,为5G和全光纤网络建立一套新的安全要求。TSR的目的是确保公共电子通信网络或公共电子通信服务提供商采取适当措施,以防止、消除或管理对网络和服务安全构成的风险,特别是在以下四个方面:确保网络和服务可供用户访问和使用;确保通信和数据的机密性;确保网络、系统、通信以及发送、接收或存储数据的完整性和真实性;确保网络和服务免受未经授权的访问或干扰。为实现上述目标,TSR将从以下四个方面着眼:从业务和管理流程来增强安全性;从网络构建来增强安全性;安全地管理网络;以及对供应商采购及其后续环节进行持续监管。这些要求将是明确的、有针对性的和可操作的。TSR明确的是底线而不是上线的要求,鼓励运营商超越这些要求,不断创新以提高网络安全性。
(二)建立健全电信安全立法框架
为推动TSR所涉及的政策和监管方面的变更,需要强有力的法律作为保障。DCMS将尽早启动相关立法,赋予英国通信管理局更大的权力,以使TSR能够得以有效执行,并为建立更强大的国家安全制度提供依据。在新的法律出台之前,DCMS和英国通信管理局将与所有英国电信运营商密切合作,确保在合作的基础上遵守新的TSR。但立法一旦通过,TSR将具有强制执行力。
(三)管控供应商带来的安全风险
在应对供应商带来的风险方面应采取“三道防线”,即:
一是要求运营商通过采购和合同管理对供应商进行严格监督,运营商应要求其所有供应商遵守新的TSR;
二是要求运营商与政府支持的供应商密切合作,以确保对设备、系统和软件进行有效的安全测试,并支持持续的验证;
三是对某些类型的供应商(这些供应商对英国电信的安全性风险显著增强)实施额外管控,在制定相关管控措施时,应当解决已识别的安全风险,同时尽可能降低在电信和更广泛的其他领域所增加的经济成本。
报告指出:目前,英国政府尚无法作出对个别高风险供应商实施额外管制措施的决定。但是,英国在最终决定如何应对构成最高风险的供应商之前,必须合理考虑美国政府以国家安全为由将华为技术有限公司和68家关联公司列入实体清单,然后签发临时通用许可证(这一许可是“特定”和“有限的”,仅针对在美国已使用的华为产品和服务,且仅持续到8月19日)所带来的影响。因为,美国所采取的措施可能对华为产品未来的可用性、可靠性以及更广泛的市场产生潜在影响。
(四)建立具有竞争力、可持续和多元的供应链
政府采取政策干预措施,建立一个更具竞争性、可持续和多元的供应链是非常必要的,这有利于提高电信服务质量和创新,并降低依赖单个供应商的风险。鉴于电信供应链的全球化特性,DCMS表示愿意与国际合作伙伴合作,并且将实施有针对性的多元化战略,支持那些致力于解决网络安全风险的新型市场主体的发展和增长。作为英国现代产业战略的一部分, DCMS将推动出台支持新型市场主体和小型企业增长的政策,包括研发支持、促进互操作性和需求刺激等,例如通过政府的5G试验和测试平台(5GTT)计划。此外,DCMS还将设法吸引市场现有其他大型供应商进入英国市场。
作者简介:贾宝国,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。